Il presidente Biden ha ordinato alle sue agenzie di intelligence di indagare su un grave attacco alla catena di approvvigionamento di ransomware nel fine settimana che ha preso di mira un fornitore di software IT utilizzato da fornitori di servizi gestiti (MSP).
Sospettato di essere opera di un affiliato di REvil, l’attacco a Kaseya, con sede a Miami, è stato notato dal suo team di risposta agli incidenti intorno a mezzogiorno di venerdì.
L’ultimo aggiornamento dell’azienda, datato domenica, ha affermato che l’incidente ha colpito circa 40 clienti locali in tutto il mondo, che avranno bisogno di una patch per mitigare la vulnerabilità mirata prima di poter riavviare i sistemi.
Nel frattempo, sia a loro che ai clienti SaaS dell’azienda è stato detto di mantenere i sistemi offline. Lunedì verrà presa una decisione su quando riavviare i server SaaS.
I clienti che gli attori del ransomware hanno contattato sono stati anche avvertiti di non fare clic su alcun collegamento in queste comunicazioni, poiché potrebbero essere armati con malware aggiuntivo.
Secondo il ricercatore Kevin Beaumont, gli aggressori hanno trovato e sfruttato un bug zero-day nel prodotto Kaseya VSA per compromettere l’organizzazione.
Il bug zero-day ha consentito loro di eseguire comandi in remoto sull’appliance VSA e fornire ransomware ai clienti MSP dell’azienda tramite un falso aggiornamento software.
“L’autore dell’attacco interrompe immediatamente l’accesso dell’amministratore a VSA, quindi aggiunge un’attività denominata ‘Kaseya VSA Agent Hot-fix.’ Questo falso aggiornamento viene quindi distribuito in tutta la proprietà, anche sui sistemi dei clienti client MSP, poiché si tratta di un falso aggiornamento dell’agente di gestione. Questo aggiornamento dell’agente di gestione è in realtà il ransomware REvil. Per essere chiari, questo significa che le organizzazioni che non sono clienti di Kaseya erano ancora crittografate”, ha spiegato Beaumont.
“In base alla progettazione Kaseya è progettato per consentire l’amministrazione di sistemi con privilegi di alto livello. Quindi il ransomware può spingersi verso i sistemi. Gli aggressori hanno inviato un aggiornamento dell’agente di gestione, che viene installato automaticamente su tutti i sistemi gestiti, il che significa un impatto molto ampio”.
Secondo Huntress Security, è probabile che il vettore originale fosse una vulnerabilità di SQL injection.
“Siamo molto fiduciosi che l’autore delle minacce abbia utilizzato un bypass di autenticazione nell’interfaccia web di Kaseya VSA per ottenere una sessione autenticata, caricare il payload originale e quindi eseguire comandi tramite SQL injection”, ha affermato. “Possiamo confermare che l’iniezione SQL è il modo in cui gli attori hanno iniziato l’esecuzione del codice”.
Sebbene si pensi che solo 40 dei 40.000 clienti stimati di Kaseya siano stati colpiti, si tratta di MSP che a loro volta hanno molti clienti. La cacciatrice ha affermato di aver tracciato “ben oltre 1.000” aziende i cui sistemi sono stati crittografati di conseguenza.
L’attacco è l’ultimo di una serie di compromessi di alto profilo della catena di approvvigionamento digitale, dopo SolarWinds e Codecov. Secondo il capo architetto del Team Cymru e capo del comitato della Task Force Ransomware, John Shank, le organizzazioni dovrebbero prenderne atto.
“Questo non è il primo e non sarà l’ultimo”, ha avvertito. “È ora di aggiungere un altro elemento per i team di sicurezza aziendale già sopraffatti: controllare i fornitori e le integrazioni con i fornitori della catena di approvvigionamento. Limitare l’esposizione al minimo assoluto, pur consentendo le operazioni aziendali”.